ISO 27001 の実装方法: 使用説明書

今日、企業の情報セキュリティ（以下、情報セキュリティ）は世界で最も喫緊の課題の一つとなっています。 多くの国では、個人データを保存および処理する組織に対する要件が強化されているため、これは驚くべきことではありません。 現在、ロシアの法律では、文書の流れのかなりの部分を紙の形式で維持することが義務付けられています。 同時に、デジタル化への傾向も顕著であり、多くの企業はすでに大量の機密情報をデジタル形式と紙文書の形式の両方で保存しています。

結果に基づいて 調査 Anti-Malware Analytical Center によると、回答者の 86% が、サイバー攻撃後、または確立された規制に対するユーザーの違反の結果として、年間少なくとも XNUMX 回はインシデントを解決する必要があったと回答しました。 この点において、ビジネスにおいて情報セキュリティを優先することが必要不可欠となっています。

現在、企業の情報セキュリティは、ウイルス対策やファイアウォールなどの一連の技術的手段だけではなく、企業資産全般、特に情報を扱うための統合的なアプローチとなっています。 企業はこれらの問題へのアプローチが異なります。 今日はそんな問題の解決策としての国際規格ISO27001の導入についてお話したいと思います。 ロシア市場の企業にとって、このような証明書の存在により、この問題に関して高い要件を持つ外国の顧客やパートナーとのやり取りが簡素化されます。 ISO 27001 は西側諸国で広く使用されており、情報セキュリティ分野の要件をカバーしており、使用される技術ソリューションによってカバーされるべきであり、ビジネス プロセスの開発にも貢献します。 したがって、この標準は競争上の優位性となり、外国企業との接点となる可能性があります。

情報セキュリティ マネジメント システム (以下、ISMS) のこの認証は、ISMS 設計のベスト プラクティスを収集し、重要なことに、システムの機能、技術的なセキュリティ サポートの要件、さらには社内の人事管理プロセスに。 結局のところ、技術的な障害は問題の一部にすぎないことを理解する必要があります。 情報セキュリティの問題では、人的要因が大きな役割を果たしており、それを排除したり最小限に抑えたりすることははるかに困難です。

あなたの会社が ISO 27001 認証を取得しようとしているのであれば、すでにその簡単な方法を見つけようとしているかもしれません。 皆さんをがっかりさせなければなりません。ここには簡単な方法はありません。 ただし、国際的な情報セキュリティ要件に組織を備えるのに役立つ特定の手順があります。

1. 経営陣からのサポートを受ける

当たり前のことだと思うかもしれませんが、実際にはこの点は見落とされがちです。 さらに、これが ISO 27001 導入プロジェクトが失敗することが多い主な理由の XNUMX つです。 経営者は標準導入プロジェクトの重要性を理解しなければ、認証のために十分な人材や予算を提供することはできません。

2. 認定準備計画を作成する

ISO 27001 認証の準備は、さまざまな種類の作業を伴う複雑な作業であり、多数の人の関与が必要で、何か月 (場合によっては数年) かかる場合もあります。 したがって、詳細なプロジェクト計画を作成することが非常に重要です。厳密に定義されたタスクにリソース、時間、人々の関与を割り当て、期限の順守を監視します。そうしないと、仕事を決して終わらせることができない可能性があります。

3. 認証境界を定義する

活動が多様化する大規模な組織の場合、会社の事業の一部のみを ISO 27001 に認証することが合理的かもしれません。これにより、プロジェクトのリスクが大幅に軽減され、時間とコストも大幅に削減されます。

4. 情報セキュリティポリシーの策定

最も重要な文書の XNUMX つは、会社の情報セキュリティ ポリシーです。 これは、会社の情報セキュリティ目標と、すべての従業員が従わなければならない情報セキュリティ管理の基本原則を反映している必要があります。 この文書の目的は、企業の経営陣が情報セキュリティの分野で何を達成したいのか、またそれがどのように実装および管理されるのかを決定することです。

5. リスク評価方法を定義する

最も難しいタスクの XNUMX つは、リスクの評価と管理のためのルールを定義することです。 企業がどのリスクを許容できると考え、どのリスクを軽減するために直ちに行動が必要かを理解することが重要です。 これらのルールがなければ、ISMS は機能しません。
同時に、リスクを軽減するために講じられた措置が適切であることを覚えておく価値があります。 ただし、最適化プロセスにあまり夢中になりすぎないでください。最適化プロセスには多大な時間や金銭的コストがかかるか、単に不可能な可能性もあるためです。 リスク軽減策を策定する際には、「最小限の十分性」の原則を使用することをお勧めします。

6. 承認された方法論に従ってリスクを管理する

次の段階は、リスク管理手法の一貫した適用、つまり評価と処理です。 このプロセスは細心の注意を払って定期的に実行する必要があります。 情報セキュリティリスク登録簿を最新の状態に保つことで、会社のリソースを効果的に割り当て、重大なインシデントを防ぐことができます。

7. リスク対応を計画する

会社にとって許容可能なレベルを超えるリスクは、リスク処理計画に含める必要があります。 リスクを軽減することを目的とした行動、その責任者と期限を記録する必要があります。

8. 該当性に関する声明を完成させます

これは、監査中に認証機関の専門家によって調査される重要な文書です。 どの情報セキュリティ管理が会社の活動に適用されるかを説明する必要があります。

9. 情報セキュリティ管理の有効性をどのように測定するかを決定します。

あらゆる行動には、設定された目標の達成につながる結果が必要です。 したがって、情報セキュリティ管理システム全体と、適用性附属書から選択された各制御メカニズムの両方について、目標の達成がどのようなパラメータによって測定されるかを明確に定義することが重要です。

10. 情報セキュリティ管理の実施

また、これまでの手順をすべて完了した後でのみ、「適用性に関する付録」にある該当する情報セキュリティ管理の実装を開始する必要があります。 もちろん、ここでの最大の課題は、組織のプロセスの多くにまったく新しいやり方を導入することになります。 人々は新しいポリシーや手順に抵抗する傾向があるため、次の点に注意してください。

11. 従業員に対する研修プログラムの実施

従業員がプロジェクトの重要性を理解し、情報セキュリティポリシーに従って行動しなければ、上記のすべての点は無意味になります。 従業員に新しいルールをすべて遵守してもらいたい場合は、まず従業員にそのルールが必要な理由を説明し、次に ISMS に関するトレーニングを提供し、従業員が日常業務で考慮する必要があるすべての重要なポリシーを強調する必要があります。 ISO 27001 プロジェクトが失敗する一般的な理由は、スタッフのトレーニングの欠如です。

12. ISMSプロセスの維持

この時点で、ISO 27001 は組織内で日常的なものになります。 規格に従って情報セキュリティ管理が実施されていることを確認するには、監査人は管理の実際の運用の証拠である記録を提供する必要があります。 しかし、何よりも記録は、従業員 (およびサプライヤー) が承認されたルールに従って業務を実行しているかどうかを追跡するのに役立つ必要があります。

13. ISMS を監視する

ISMS では何が起こっていますか? インシデントは何件ありますか?その種類は何ですか? すべての手順は適切に行われていますか? これらの質問により、企業が情報セキュリティの目標を達成しているかどうかを確認する必要があります。 そうでない場合は、状況を修正するための計画を立てる必要があります。

14. ISMS内部監査の実施

内部監査の目的は、企業内の実際のプロセスと承認された情報セキュリティ ポリシーとの間の不一致を特定することです。 ほとんどの場合、従業員がルールをどの程度遵守しているかを確認します。 これは非常に重要な点です。なぜなら、スタッフの仕事を管理しないと、(意図的または非意図的に) 組織に損害が発生する可能性があるからです。 しかし、ここでの目標は、犯人を見つけてポリシー違反を懲戒することではなく、状況を是正し、将来の問題を防ぐことです。

15. マネジメントレビューを組織する

管理者はファイアウォールを設定する必要はありませんが、ISMS で何が起こっているか、たとえば全員が責任を果たしているかどうか、ISMS が目標の結果を達成しているかどうかを把握する必要があります。 これに基づいて、経営者は ISMS と社内ビジネス プロセスを改善するための重要な決定を下す必要があります。

16. 是正措置および予防措置のシステムを導入する

他の規格と同様、ISO 27001 では「継続的改善」、つまり情報セキュリティ管理システムの不一致を体系的に修正し、防止することが求められています。 是正措置と予防措置により、不適合を修正し、将来の再発を防ぐことができます。

結論として、実際には、認定を取得することは、さまざまな情報源で説明されているよりもはるかに困難であると言いたいと思います。 これは、今日のロシアには、 78の企業 コンプライアンスが認証されています。 同時に、これは海外で最も人気のある規格の XNUMX つであり、情報セキュリティ分野におけるビジネスの需要の高まりに応えています。 この実装に対する需要は、脅威の種類の増加と複雑さだけでなく、法律の要件や、データの完全な機密性を維持する必要があるクライアントによるものでもあります。

ISMS 認証は簡単な作業ではありませんが、国際規格 ISO/IEC 27001 の要件を満たすという事実自体が、世界市場において大きな競争上の優位性をもたらす可能性があります。 私たちの記事が、企業が認証に向けて準備する際の重要な段階についての最初の理解を提供できれば幸いです。

出所： habr.com